2024년 노드VPN 보안 얼마나 안전한가?: 외부 감사 세부 내용
노드VPN 외부 감사(Audit) 세부 내용
지난 글에서 익스프레스VPN 외부 감사의 세부 내용을 작성했습니다. 노드VPN은 현재 저의 평가에서 1위를 받고있는 VPN 회사 입니다. 익스프레스VPN이 2위이긴 하지만 그 차이는 가격적인 부분에서 점수가 크게 차이가 나는 것이고 두 회사의 신뢰도, 인지도, 보안 시스템 외부 검증, 전 세계 유저들의 장기간 검증, 성능 등 모든 부분에 있어서 두 회사가 최고라고 생각합니다.
특히 No Log 검증 부분에서는 NordVPN의 노력이 가장 돋보입니다. 2023년까지 무려 4번의 노로그 감사를 받았기 때문입니다.
이 글에서는 노드VPN이 유명한 외부 감사 업체들로부터 어떤 부분을 검증받았고 어떤 평가를 받았는지 알아보도록 하겠습니다.
‘100페이지’가 넘는 보고서도 있기 때문에 중요 내용이 빠지지 않는 선에서 ‘요약된 내용’으로 정리했습니다. 어차피 다 읽으실 분도 안계시고 그럴 필요도 없거든요. 어차피 결과는 NordVPN 시스템과 개인정보정책이 모두 문제없이 작동하고 있다는 내용들입니다. 만약 보안 이슈나 큰 문제가 있었다면 지금 이런 인기과 명성을 얻지 못했을 것입니다.
2018년
Tefincom S.A.의 NordVPN 서비스에 대한 독립 보증 보고서
초기 상황 및 감사 목표
Tefincom S.A.는 NordVPN 서비스의 무로그 정책과 그 구현에 대해 합리적인 보증을 제공하기 위해 우리를 고용했습니다. 우리는 2020년 5월 28일 현재 Tefincom의 서비스 설명에 따라 관련 보증 절차를 수행했습니다. 이 보고서는 우리의 보증 절차 결과를 포함합니다.
감사 절차
우리는 2020년 5월 20일부터 5월 28일까지 다음과 같은 NordVPN 서비스에 대한 보증 절차를 수행했습니다:
- 표준 VPN 서버
- 더블 VPN 서버
- 난독화(XOR) VPN 서버
- P2P 서버
Tefincom의 책임
Tefincom 경영진은 “프라이버시 VPN 서비스 NordVPN” 설명서와 성명서를 작성하고 구현할 책임이 있습니다. 이 책임에는 설명서의 완전성, 정확성 및 제시 방법의 설계, 구현 및 유지 관리가 포함됩니다.
독립성과 품질 관리
우리는 Tefincom과 독립적이며, 국제 회계사 윤리 기준 위원회(IESBA)가 발행한 국제 윤리 규약(국제 독립성 기준 포함)을 준수합니다. 우리는 IESBA 윤리 규약에 따라 다른 윤리적 책임을 다하고 있습니다.
감사인의 책임
우리는 ISAE 3000(개정)에 따라 보증 참여를 수행하고, 2020년 5월 28일 현재 Tefincom 경영진이 준비한 설명에 따라 무로그 정책과 그 구현에 대한 공정한 제시 여부에 대해 결론을 내릴 책임이 있습니다.
수행된 절차
우리는 충분하고 적절한 보증 증거를 얻기 위해 다음과 같은 절차를 수행했습니다:
- 책임 있는 Tefincom 직원과의 인터뷰
- 관련 NordVPN 서버의 로깅 구성 검사
- 검사한 구성이 관련 NordVPN 서버에 적용되었는지 확인
- 샘플 VPN 서버의 로그 파일 검사
- NordVPN 서비스와 관련된 중앙 서비스 서버의 로깅 구성 검사
- 검사한 구성이 관련 중앙 서비스 서버에 적용되었는지 확인
- NordVPN 서비스와 관련된 중앙 서비스 서버의 로그 파일 검사
- NordVPN 서비스와 관련된 중앙 데이터베이스의 로깅 구성 및 저장 정보 검사
우리는 얻은 증거가 결론을 내리기에 충분하고 적절하다고 믿습니다.
범위 외 절차
다음 절차는 이번 보증 참여 범위에 포함되지 않습니다:
- 특정 시점에 대한 평가로, 다른 시점이나 기간에 대한 보증은 제공하지 않습니다.
- 전용 IP 서버에 대한 보증 절차 수행
- SmartDNS, BIND, HAProxy 또는 SNI Proxy를 포함한 보증 절차 수행
- 시스템 환경 유지 및 운영을 위한 내부 통제 환경에 대한 보증 절차 수행
- 데이터 및 시스템 보호를 위한 보안 조치에 대한 보증 절차 수행
- 물리적 보안 및 논리적 보안, 서비스 제공자와 관련된 보증 절차 수행
결론
우리가 수행한 작업에 기초하여, 2020년 5월 28일 현재 Tefincom의 설명서에 따라 NordVPN 서비스의 무로그 정책과 그 구현이 모든 중요한 측면에서 준비되지 않았다고 믿을 이유가 없습니다.
사용 및 목적 제한
이 보고서는 Tefincom 및 그 고객을 위한 목적으로만 사용되며, 다른 목적이나 다른 당사자에게 배포되지 않습니다. 이 보고서는 Tefincom의 경영진에게만 제공되며, 다른 사람에게는 책임을 지지 않습니다. – PricewaterhouseCoopers AG
Appendix I: Tefincom S.A.의 무로그 NordVPN 서비스에 대한 성명서
Tefincom S.A.는 NordVPN 서비스를 사용하는 고객과 충분한 이해를 바탕으로 설명서를 고려할 잠재 고객을 위해 첨부된 설명서를 준비했습니다. 이 설명서에는 시스템 사용 고객이 운영하는 통제에 대한 정보 등 기타 정보가 포함되어 있습니다. 우리는 우리의 지식과 믿음에 근거하여 다음을 확인합니다:
- 설명서의 공정한 제시:
- 첨부된 설명서는 우리의 무로그 NordVPN 서비스를 공정하게 제시합니다. 이 성명을 작성할 때 사용된 기준은 다음과 같습니다:
- “무로그 정책”이 어떻게 설계되고 구현되는지를 제시합니다.
- NordVPN 서비스의 범위와 관련된 정보를 누락하거나 왜곡하지 않습니다.
- 첨부된 설명서는 우리의 무로그 NordVPN 서비스를 공정하게 제시합니다. 이 성명을 작성할 때 사용된 기준은 다음과 같습니다:
- 설계 및 구현 적합성:
- NordVPN 서비스는 2020년 5월 28일 현재 적절하게 설계되고 구현되었습니다. 이 성명을 작성할 때 사용된 기준은 다음과 같습니다:
- NordVPN 서비스는 2020년 5월 28일 현재 설명서에 기술된 대로 구현되었습니다.
- 운영 모델의 일부로서의 무로그 구성은 VPN 서버와 중앙 인프라에 정의되고 구현되었습니다.
- NordVPN 서비스는 2020년 5월 28일 현재 적절하게 설계되고 구현되었습니다. 이 성명을 작성할 때 사용된 기준은 다음과 같습니다:
PwC는 Tefincom S.A.의 설명이 공정하게 제시되었으며, NordVPN 서비스가 적절하게 설계되고 구현되었다고 판단합니다(2018년 11월 1일 기준).
Appendix II: Service description of the “Privacy VPN service NordVPN“
NordVPN은 인터넷 보안과 프라이버시를 강화하기 위해 설계된 강력한 가상 사설망(VPN)입니다. NordVPN은 무로그(no-log) 서비스로, 연결 로그나 개인 활동 데이터(IP 주소, 트래픽 로그 또는 인터넷 활동 정보)를 수집하거나 저장하지 않습니다. 우리는 서비스 유지를 위해 꼭 필요한 최소한의 사용자 정보만 처리합니다.
NordVPN은 복잡한 내부 구조를 가지고 있지만, 간단히 설명하면 다음과 같습니다:
- NordVPN 서비스 사용 방법:
- NordVPN 애플리케이션 및 브라우저 프록시 확장 프로그램을 통해 사용할 수 있으며, 두 경우 모두 API 서버와의 통신이 이루어집니다.
- 또한 타사 소프트웨어를 수동으로 구성하여 사용할 수도 있습니다.
- 사용자 인증:
- NordVPN 인증 서버는 사용자 자격 증명, 구독 상태(사용자가 활성 상태인지 여부) 및 동시 활성 사용자 세션 한도를 초과하지 않았는지를 확인하여 사용자를 인증합니다.
- VPN 서버 연결:
- 사용자가 NordVPN VPN 서버에 연결하면 사용자와 서버 간의 모든 통신이 암호화됩니다.
- 세션 정보는 세션이 활성 상태인 동안 주기적으로 NordVPN 인증 서버로 전송됩니다. 이 정보는 사용자 이름과 마지막 세션 상태의 타임스탬프를 포함하며, 동시 활성 사용자 세션 수를 제한하는 데 사용됩니다. 해당 정보는 세션 종료 후 15분 이내에 삭제됩니다.
- 익명 통계 정보 수집:
- 인증 서버는 사용자당 월간 성공한 총 연결 수를 집계합니다. 그러나 사용자가 연결한 서버나 해당 연결 시간에 대한 정보는 수집하지 않습니다.
- VPN 서버는 총 연결 사용자 수와 네트워크 트래픽, CPU, 메모리 및 디스크 사용량, 실행 중인 프로세스 등의 시스템 메트릭을 수집합니다.
- 트래픽 암호 해독 및 라우팅:
- NordVPN 서비스는 사용자의 트래픽을 암호 해독하고, NAT/방화벽을 통해 인터넷으로 라우팅하여 연결을 안전하게 유지하고, 원치 않는 트래픽을 차단합니다.
- 로컬 Recursive DNS 서비스는 ‘CyberSec’ 및 ‘SmartPlay’와 같은 추가 보안 기능을 제공하기 위해 사용됩니다.
2019년
없음
2020년
5월 1일 – NordVPN 노-로그 정책에 대한 PricewaterhouseCoopers AG 감사 보고서 (2년 뒤 재검증)
2018년 1차 검증과 내용 동일힙나다.
12월 1일 – NordVPN VPN 클라이언트 보안 테스트에 대한 VerSprite 평가
이 보고서는 무려 108페이지에 달하는 내용입니다. 이미지와 텍스트 내용이 너무 많기 때문에 해당 ‘보고서의 요약 부분을 요약’합니다.
VerSprite의 NordVPN 애플리케이션 침투 테스트 보고서
VerSprite는 NordVPN의 요청으로 2020년 11월 2일부터 11월 25일까지 애플리케이션 침투 테스트를 수행했습니다. 이 테스트는 NordVPN 관계자의 동의와 완전한 인지 하에 진행되었으며, 테스트 시작 전에 모든 관계자들이 위험, 노력 수준, 연락처 및 예상 기간에 대해 충분히 이해할 수 있도록 공식 시작 회의가 열렸습니다.
목표
이번 침투 테스트의 주요 목표는 VPN 클라이언트 보안 테스트에서 높은 영향력을 가진 취약점을 식별하는 것이었습니다. 이러한 취약점은 데이터 도용 및 전체 권한 상승으로 이어질 수 있습니다. 이 테스트는 실제 공격 시나리오와 위협을 시뮬레이션하여 데이터 프라이버시, 진본성, 무결성 및 비즈니스 평판에 중대한 영향을 미칠 수 있는 취약점을 확인하는 것을 목표로 했습니다.
범위
테스트 범위는 다음 환경을 포함했습니다:
- NordVPN Windows 클라이언트 – v6.32
- NordVPN Linux 클라이언트 – v3.8.6
- NordVPN macOS 클라이언트 – v5.9.1
- NordVPN Android 클라이언트 – v4.16
- NordVPN iOS 클라이언트 – v5.11.2 및 v6.0.0
결과 요약
이번 애플리케이션 침투 테스트에서 발견된 NordVPN 클라이언트의 전체 기술적 위험은 낮음으로 평가되었습니다. 이는 발견된 취약점의 수와 심각도를 종합적으로 고려한 결과입니다. VerSprite는 수동 테스트와 자동화 테스트를 병행하여 보다 넓은 범위를 커버하고 특정 테스트를 보완했습니다.
주요 발견 사항
- Windows VPN 클라이언트:
- 메모리에 남아 있는 민감한 정보: 로그인 후 사용자 자격 증명이 메모리에 남아 있는 문제
- 컴파일 시 보안 보호 부족: OpenVPN 바이너리가 ASLR, CFG 및 RFG 등의 보안 보호 없이 컴파일됨
- Linux VPN 클라이언트:
- 인증 부족으로 인한 DoS: nordvpnd.sock에서 인증 부족으로 인한 서비스 거부(DoS) 발생
- TLS v1.0 및 v1.1 지원: API 엔드포인트 중 하나에서 TLS v1.0 및 v1.1 지원
- 메모리 보호 부족: PIE, ASLR 및 스택 카나리아 등의 보안 메커니즘이 구현되지 않음
- macOS VPN 클라이언트:
- 로컬 소켓 바인딩을 통한 실제 IP 주소 누출: VPN 연결 중에도 소프트웨어가 실제 인터넷 IP 주소를 노출함
- 하드코딩된 암호화 키: macOS, Android 및 iOS 클라이언트가 고정된 키로 암호화된 데이터베이스 생성
- Android 및 iOS 클라이언트:
- 민감한 정보의 평문 저장: Android 애플리케이션에서 민감한 정보가 평문으로 저장됨
- APK v1 서명 지원: Janus 취약점에 취약한 v1 서명 방식 사용
- 바이너리 보호 부족: 루팅 및 탈옥된 장치에서 애플리케이션 실행 가능
기타 관찰 사항
- 소스 코드의 하드코딩된 도메인 이름
- 인증 없이 다운로드 가능한 서버 목록
이번 테스트의 결과는 NordVPN 클라이언트의 전반적인 보안 수준이 높음을 강조했습니다. 발견된 모든 취약점은 보고서 전달 후 즉시 수정되었습니다. 보고서의 전체 내용을 확인하려면 해당 링크를 통해 접근할 수 있습니다.
2021년
모든 클라이언트 보안 테스트
3월~4월 총 5건의 보고서가 있습니다. 이는 클라이언트 보안 테스트 보고서로 iOS, Linux, macOS, Windows, Android 이렇게 총 다섯 건의 보안 보고서 입니다. PDF 파일로 이루어진 이 보고서는 어떤 방식으로 테스트 했는지에 대해서 나오는데 전체를 다 올리기엔 글이 너무 길어질 것 같아서 아래 전체 인증서만 보셔도 충분하리라 생각합니다.
6월에 그 5개의 보고서에 대한 ‘NordVPN VPN 클라이언트 보안 테스트에 대한 VerSprite의 인증서’가 올라왔습니다. (아래 이미지)
위 내용은 아래와 같습니다.
이 편지는 NordVPN이 2020년 11월 동안 모든 주요 지원 플랫폼에 대해 VPN 클라이언트 보안 테스트를 수행했음을 증명합니다. 이 테스트의 주요 목표는 IP 누출, 기밀 사용자 데이터 도난 및 권한 상승으로 이어질 수 있는 높은 위험의 취약점을 식별하는 것이었습니다. 이 테스트는 데이터 프라이버시, 무결성 및 비즈니스 평판에 중대한 영향을 미칠 수 있는 실제 공격 시나리오와 위협을 시뮬레이션하는 방법을 따랐습니다.
VerSprite의 침투 테스트 방법론은 PASTA(공격 시뮬레이션 및 위협 분석 프로세스)를 사용하여 악의적인 행위자의 현실적인 공격을 모방하는 것을 기반으로 합니다. PASTA는 NordVPN 환경에 대한 공격을 시뮬레이션하고 위협을 분석하기 위한 7단계 프로세스로, 비즈니스에 대한 위험과 영향을 최소화하는 것을 목표로 합니다. 이 접근 방식은 VerSprite가 비즈니스 및 공격자 관점에서 보안을 이해하고, 테스트 중에 현실적인 공격을 모델링하고 시뮬레이션하며, 목표로 하는 보안 태세를 압박 테스트하고, 보안과 비즈니스를 일치시키는 주요 통찰력과 권장 사항을 제공할 수 있도록 합니다.
2022년
8월 7일 – NordVPN 앱, 웹 서비스/API 및 추가 기능의 보안에 대한 Cure53의 평가 보고서
32페이지 보고서라 전체를 올리면 페이지가 터져나갈까봐 요약으로 올립니다. (결론 부분만 7페이지)
NordVPN 보안 감사 보고서 요약
Cure53 팀은 CW29에서 CW31 기간 동안 NordVPN의 다양한 구성 요소를 대상으로 보안 평가를 실시했습니다. 이 보고서는 테스트 결과를 상세히 설명하며, 전체적으로 혼합된 인상을 남겼습니다. 보안 강점과 약점이 모두 발견되었습니다.
감사 개요 및 의사소통 테스트는 Slack 채널을 통해 수행되었으며, 여기서 진행 상황과 상태 업데이트가 공유되었습니다. 이는 애플리케이션 흐름이나 기술적 문제를 이해하는 데 도움이 되었습니다. 주요 목표는 NordVPN 클라이언트, 계정 관리 플랫폼 및 API의 보안을 심층 평가하는 것이었습니다.
WP1: Windows 및 Linux 클라이언트
- Windows: 서비스 생성 및 권한 상승 문제를 평가했으며, 위험 요소가 발견되지 않았습니다. API 엔드포인트에서 반환된 데이터 처리가 충분히 안전하다고 판단되었습니다.
- Linux: 인증 부족으로 인한 DoS 문제와 함께 다양한 취약점이 발견되었습니다. 특히, 신뢰할 수 없는 환경 데이터를 통해 명령줄을 호출하는 심각한 취약점이 발견되었습니다.
WP2: 브라우저 확장 및 모바일 앱
- 브라우저 확장: 요청된 권한이 합리적인지 평가했으며, 문제는 발견되지 않았습니다. WebRTC, DNS 및 IPv6와 같은 프라이버시 누출 가능성을 평가했으나, 모든 트래픽이 프록시 서버로 리디렉션되어 누출이 방지되었습니다.
- Android 앱: 토큰 누출 및 제3자 정보 열거가 방지되었습니다. 그러나 로컬 앱 저장소의 일부 토큰이 Android KeyStore로 보호되지 않았습니다.
- iOS 앱: 불안전한 저장소로 인한 정보 누출 가능성을 평가했으며, 파일 시스템 권한 제한 및 클라이언트 측 캐싱 비활성화를 통한 개선이 필요하다고 확인했습니다. 네트워크 통신은 안전하게 처리되었습니다.
WP3: 웹 및 API 컴포넌트
- 웹 및 API: 표준 입력 처리 테스트에서 취약점이 발견되지 않았습니다. 대부분의 API는 강력한 스키마 유효성 검사를 사용했습니다. 그러나 코드베이스 전반에 걸쳐 일관성이 부족한 부분이 있어 개선이 필요합니다.
결론 및 권장 사항 NordVPN 클라이언트 소프트웨어는 보안 관점에서 강력한 진전을 이루었으나, 고위험 취약점과 심각한 권한 상승 문제를 포함한 여러 개선 사항이 필요합니다. 정기적인 보안 평가와 심층 분석을 권장합니다. 이는 기존 취약점을 해결하고 새로운 기능이 도입될 때 새로운 취약점이 발생하지 않도록 보장합니다.
10월 9일 – NordVPN 서버 및 인프라 보안에 대한 Cure53의 평가 보고서
16페이지 분량의 보고서이며 아래는 요약입니다.
이 보고서는 CW38에서 CW40 기간 동안 Cure53 팀이 NordVPN 서버와 인프라를 대상으로 수행한 테스트 결과를 상세히 설명하고 있습니다. 요약하자면, 평가된 구성 요소들은 비교적 강한 인상을 주었으며, 중간 정도의 발견 사항이 있었지만 보안 성장의 기회가 많았습니다.
주요 평가 영역
- 네트워크 및 호스트 머신: Radius 서버와 Wireguard 커널 모듈의 패치 파일을 평가했으나, 메모리 손상이나 인증 관련 결함은 발견되지 않았습니다.
- 네트워크 및 방화벽 규칙: 모든 호스트와 컨테이너에서 네트워크 및 방화벽 규칙을 평가했으며, 노출된 외부 서비스는 발견되지 않았습니다.
- 네트워크 설정: 구성 오류가 없는지 확인했으며, 긍정적인 결과를 얻었습니다.
- Consul 서비스: 정보 누출이 발견되었으며, 추가적인 보안 강화를 권장합니다.
호스트 설정 및 구성
- sudo 규칙: 일부 sudo 규칙 구성은 개선이 필요합니다.
- 파일 시스템 권한: Docker 컨테이너와 Linux 서버의 파일 시스템 권한 설정이 명확히 설정되지 않았습니다.
- 패치 관리: 일부 네트워크 서비스와 기능이 최신 상태가 아니었습니다.
Docker 및 컨테이너
- Docker 설정이 기본 설정에 의존하고 있어 추가적인 강화가 필요합니다.
- 네트워크 레이어는 잘 유지되고 있지만, 로컬 Docker와 호스트 환경의 보안도 강화가 필요합니다.
총평
NordVPN 인프라의 현재 보안 태세는 비교적 강한 인상을 주었으며, 핵심 인프라 구성 요소에서 잘 유지된 보안 설정이 관찰되었습니다. 그러나 11개의 중요한 발견 사항은 보안 강화를 위한 여지가 있음을 나타냅니다. Cure53는 모든 완화 조치가 제대로 구현되었는지 확인하기 위해 후속 보안 검토를 권장합니다.
12월 21일 – NordVPN 노-로그 정책에 관한 감사 보고서 (3번째)
NordVPN의 IT 시스템 구성 및 지원 IT 운영 관리에 대한 독립 보증 보고서
보고서 배경 및 책임 NordVPN S.A.는 고객에게 VPN 서비스를 제공하는 데 사용되는 IT 시스템 및 지원 IT 운영의 구성을 독립적으로 검증하기 위해 2022년 11월 21일부터 12월 10일까지 보증 절차를 수행했습니다. 이 보고서는 해당 절차의 결과를 포함하고 있으며, 보증 절차는 2022년 12월 10일에 완료되었습니다.
Engaging Party의 책임 NordVPN의 경영진은 IT 시스템 구성 및 지원 IT 운영 관리를 준비하고, 이에 대한 설명서와 성명서를 작성하는 책임이 있습니다. 이 책임에는 설명서와 성명서의 완전성, 정확성, 및 제시 방법이 포함됩니다.
독립성과 품질 관리 우리는 국제 회계사 윤리 기준 위원회(IESBA)의 윤리 규정에 따라 독립성을 유지하고 있으며, 우리의 윤리적 책임을 다하고 있습니다. 또한, 국제 품질 관리 기준(ISQC 1)을 적용하여 포괄적인 품질 관리 시스템을 유지하고 있습니다.
감사인의 책임 우리는 NordVPN의 IT 시스템 구성 및 지원 IT 운영 관리에 대한 독립적인 합리적 보증 보고서를 작성하고, 이에 대한 공정한 제시 여부에 대한 결론을 내릴 책임이 있습니다. 우리의 감사는 ISAE 3000(개정)에 따라 수행되었습니다.
수행된 절차 요약 우리는 충분하고 적절한 보증 증거를 얻기 위해 다음과 같은 절차를 수행했습니다:
- 책임 있는 NordVPN 직원과의 인터뷰
- Appendix I의 설명서 및 성명서 검토
- 관련 IT 시스템 및 구성 파일의 검사 및 기술 검토
- 서버 구성 및 배포 과정 검토
- 개인 정보 관련 설정 및 절차 검토
결론 수행된 절차와 확보된 증거에 근거하여, 2022년 12월 10일 현재 NordVPN의 IT 시스템 구성 및 지원 IT 운영 관리는 설명서에 따라 적절하게 준비되었음을 확인했습니다.
사용 및 배포 제한 이 보고서는 NordVPN 및 그 고객을 위한 목적으로만 사용되며, 다른 목적으로 사용되거나 다른 당사자에게 배포될 수 없습니다.
부록 I: NordVPN의 프라이버시 VPN 서비스에 대한 성명서 우리는 고객의 프라이버시를 보호하기 위해 효과적인 정책과 통제를 갖추고 있으며, IT 시스템 및 VPN 서비스에 대한 인프라가 무로그 구성으로 설계되고 구현되었음을 확인합니다. 우리는 다음을 확인합니다:
- NordVPN은 고객 활동과 관련된 사용자 로그를 기록하거나 저장하지 않습니다.
- 서비스는 2022년 12월 10일 현재 설명서에 따라 구현되었습니다.
전체 요약 NordVPN은 사용자 활동에 대한 정보를 기록하거나 제공할 수 없는 시스템 아키텍처를 갖추고 있습니다. 모든 VPN 서버는 RAM에서 실행되며, 전원이 차단되면 모든 데이터가 즉시 소멸됩니다.
2023년
12월 13일 – NordVPN 노-로그 정책에 관한 감사 보고서 (4번째)
NordVPN IT 시스템 구성 및 지원 IT 운영에 대한 독립 보증 보고서
배경 및 목적 NordVPN S.A.는 고객에게 VPN 서비스를 제공하기 위해 사용되는 IT 시스템 및 지원 IT 운영의 구성을 독립적으로 검증하기 위해 2023년 11월 30일부터 12월 7일까지 보증 절차를 수행했습니다. 이 보고서는 해당 절차의 결과를 포함하고 있습니다.
Engaging Party의 책임 NordVPN 경영진은 IT 시스템 구성 및 지원 IT 운영 관리와 관련된 설명서와 성명서를 준비할 책임이 있습니다. 이는 설명서와 성명서의 완전성, 정확성 및 제시 방법을 포함합니다. 또한, 내부 통제 시스템의 설계, 구현 및 유지 관리도 포함됩니다.
독립성과 품질 관리 우리는 NordVPN과 독립적이며, 국제 회계사 윤리 기준 위원회(IESBA)의 윤리 규정에 따라 윤리적 책임을 다하고 있습니다. 또한, 국제 품질 관리 기준(ISQM 1)을 적용하여 포괄적인 품질 관리 시스템을 유지하고 있습니다.
감사인의 책임 우리는 NordVPN의 IT 시스템 구성 및 지원 IT 운영 관리에 대한 독립적인 합리적 보증 보고서를 작성하고, 이에 대한 공정한 제시 여부에 대한 결론을 내릴 책임이 있습니다. 우리의 감사는 ISAE 3000(개정)에 따라 수행되었습니다.
수행된 절차 요약 우리는 충분하고 적절한 보증 증거를 얻기 위해 다음과 같은 절차를 수행했습니다:
- 책임 있는 NordVPN 직원과의 인터뷰
- Appendix I의 설명서 및 성명서 검토
- 관련 IT 시스템 및 구성 파일의 검사 및 기술 검토
- 서버 구성 및 배포 과정 검토
- 개인 정보 관련 설정 및 절차 검토
결론 수행된 절차와 확보된 증거에 근거하여, 2023년 12월 7일 현재 NordVPN의 IT 시스템 구성 및 지원 IT 운영 관리가 설명서에 따라 적절하게 준비되었음을 확인했습니다.
사용 및 배포 제한 이 보고서는 NordVPN 및 그 고객을 위한 목적으로만 사용되며, 다른 목적으로 사용되거나 다른 당사자에게 배포될 수 없습니다.
부록 I: NordVPN의 프라이버시 VPN 서비스에 대한 성명서 우리는 고객의 프라이버시를 보호하기 위해 효과적인 정책과 통제를 갖추고 있으며, IT 시스템 및 VPN 서비스에 대한 인프라가 무로그 구성으로 설계되고 구현되었음을 확인합니다. 우리는 다음을 확인합니다:
- NordVPN은 고객 활동과 관련된 사용자 로그를 기록하거나 저장하지 않습니다.
- 서비스는 2023년 12월 7일 현재 설명서에 따라 구현되었습니다.
전체 요약 NordVPN은 사용자 활동에 대한 정보를 기록하거나 제공할 수 없는 시스템 아키텍처를 갖추고 있습니다. 모든 VPN 서버는 RAM에서 실행되며, 전원이 차단되면 모든 데이터가 즉시 소멸됩니다.
결론
복잡한 문서들을 모두 읽고 이해하실 필요는 없습니다. 저 역시 마찬가지고요. 유명한 보안 및 감사 회사들이 자신들의 이름을 걸고 검증한 부분들이므로 우리는 그 회사들이 믿을만한지 그리고 결과가 어떻게 나왔는지 두 가지만 확인하면 됩니다. 자신감은 증명했을때 빛이 납니다. 이정도로 꼼꼼하게 외부 회사로부터 검증받고 특히 No Log 부분에서 이정도로 검증에 비용을 지불한 VPN 회사는 제가 알기론 없습니다. 그래서 저는 주기적으로 검증받는 노드와 익스프레스 두 회사를 좋아합니다.
검증하는 회사들이 어떤 곳들인지 궁금하시면 이 글이 연결되는 문서로 가셔서 보실 수 있습니다. 최대한 저렴하게 가입하고 싶은 분은 할인 정보 정리 글을 참고해주세요.
인터넷 타임 스탬프 만으로도 신원이 특정 될수있다던데 사실인가요?
isp에서는 누가 vpn을 썼다는건 알수있어서
사용자가 적은 노로그 vpn을 쓴사람과 글쓴 시간대를 대조하여 신원을 특정할수다고
사용자가 많은 노드나 익스는 여러명이 같은 아이피를 쓸수있다고 알고 있습니다만
극단적으로 적은수라면 어떨지 궁금하네요
1. VPN을 썼다가 증거가 되려면 동시간에 VPN 사용한 수 많은 사람들이 모두 용의자가 될테니 이건 어렵습니다.
2. 경찰 : “그 시간대에 그 IP 주소 사용했으니 당신은 유력한 용의자다.” – 누구나 사용할 수 있는 공유 IP 주소이고 나만 사용했다는 증거도 없으므로 이것도 말이 안되죠.
사용자가 극히 적은 VPN이라면 경찰이 수사망을 좁히기 쉽긴하겠지만 기소, 처벌이 가능하려면 ‘명확한 증거’가 있어야 하는데 생각보다 쉽지 않습니다.
인터넷에서 “00 조건이면 가능성이 있다.”라는 말보다는 실제 케이스가 있느지를 먼저보는게 더 신빙성 있습니다.
설명감사합니다